Guest

Amélioration de Gestion de Security Certificate

Options de téléchargement

  • PDF     (215.6 KB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d’appareils
  • ePub     (169.6 KB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (253.9 KB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:1 août 2016
ID du document:200572
À propos des traductions

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

Introduction

Ce document décrit la caractéristique qui améliore l'expérience utilisateur et permet la batterie de suppression de certificat au loin.

Conditions préalables

Conditions requises

Cisco recommande que vous ayez la connaissance du vesion 11.0 du gestionnaire de Cisco Unified Communications (CUCM) et en haut.

Composants utilisés

Ce document n'est pas limité à des versions de matériel et de logiciel spécifiques.

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Informations générales

Il y a certains Certificats sur CUCM et IM&P qui sont répliqués d'une manière transparente (sans admin ? la connaissance s). Ceci signifie que si un certificat est téléchargé par l'admin sur un serveur, il est poussé aux autres serveurs dans la batterie. Ceci est fait pour prendre en charge la caractéristique de la batterie de croix de mobilité d'extension (EMCC).

Précédemment, dans une batterie énorme s'il y avait une condition requise de supprimer un certificat superflu, l'admin requis pour ouvrir une session dans chacun des serveurs et pour supprimer le certificat manuellement. Supplémentaire, si ceci n'est pas fait dans une fenêtre stipulée, le certificat supprimé pourrait réapparaître en raison du service de CertSync qui exécute toutes les 30 minutes, qui s'assure que les tables de système de fichiers et de certificat sont dans le sync. Pour éviter cette question, les clients désactivent aujourd'hui le service de CertSync sur tous les Noeuds suivis de suppression de certificat sur tous les Noeuds. Ceci rend l'expérience utilisateur très mauvaise.

Avec la nouvelle amélioration de caractéristique de tels exemples ne se produiront pas.

Cet ehancement de caractéristique à la Gestion de certificat te fournit la capacité de supprimer automatiquement un certificat de tous les Noeuds dans la batterie.

Quand un certificat est supprimé d'un noeud dans la batterie, il obtiendra supprimé de tous autres Noeuds dans la batterie.

Configurez

Sur le Cisco Call manager, naviguez vers la gestion de SYSTÈME D'EXPLOITATION de Cisco Unified > sous la Gestion de Sécurité > de certificat

Sélectionnez le certificat qui les besoins d'être supprimé. Vous verrez ceci :

Une fois que vous cliquez sur OK, ces étapes auront lieu :

1. Le certificat sera supprimé localement sur le serveur.

2. Si le certificat est supprimé avec succès, alors l'événement de plate-forme sera déclenché. Cet événement de plate-forme sera envoyé à tous les serveurs dans la batterie (CUCM et IM&P). Les informations actuelles dans l'événement de plate-forme sont le type d'unité (CallManager, Tomcat ou Téléphone-SAST) avec le nom du certificat (par exemple, RootCA.pem). L'événement de plate-forme nous donne la capacité de déclencher la batterie d'événement d'effacement au loin. 

L'exécution d'effacement de certificat s'applique seulement pour ces Certificats :

CUCM

1. Tomcat-confiance

2. CallManager-confiance

3. Téléphone-SAST-confiance

Présence CUCM IM&

1. Tomcat-confiance

Vérifiez

Aucune procédure de vérification n'est disponible pour cette configuration.

Dépannez

Cette section fournit des informations que vous pouvez utiliser pour dépanner votre configuration.

Si les Certificats sur les autres Noeuds dans la batterie ne sont pas supprimés, collectez ces logs de RTMT, pour dépanner cette question.

1. Journal de l'observateur d'événements

2. Log de Visualiseur-système d'événement

3. Logs de CertMgr de plate-forme IPT

Message témoin :

6 juillet ilog_impl de l'utilisateur CM11 6 de 03:12:05 : Demande reçue de plate--événement (--plate--événement-clusterwide-certificat-effacement HOSTNAME=CM11Sub UNIT=tomcat-trust Type=certs-trust NAME=testcert.pem de NO--attente).

Ce log indique qu'un événement a été reçu par les autres Noeuds dans la batterie pour supprimer le testcert de certificat, quand le certificat est supprimé sur un noeud.

Du certMgmt se connecte pour l'exécution d'effacement :

Ce log prouve que le CERT gestion a reçu la demande de la suppression du certificat certificate.pem dans le tomcat_trust :

décodez :     vrai


op :         effacement


unité :       Tomcat-confiance


keystoreUnit : Tomcat-confiance


fichier journal :    /var/log/active/platform/log/cert-mgmt.log


resultFile : /var/log/active/platform/log/certde-info.xml


keyDir :     /usr/local/cm/.security/tomcat/keys


certDir :    /usr/local/cm/.security/tomcat/trust-certs/Certificate.pem

Ce log prouve que les Certificats sont supprimés de la base de données :

2016-07-06 les INFORMATIONS de 01:31:55,374 [principales] - DANS -- CertDBAction.java - deleteCertificateInDB(certInfo) -

TAC Authored

Contribution d’experts de Cisco

  • Somnath Gupta
    Ingénieur TAC Cisco

Ce document vous est-il utile?

FeedbackCommentaires

Laissez-nous vous aider

Discussions connexes de communautés d’assistance